親愛的教育界朋友們:
以下是關於學習管理平台 Canvas/Instructure 近期安全事件的簡要、非技術性更新。這是一起供應商端的資訊安全事故,並非學校網路遭到入侵。
以下為重點說明:
1. 此為供應商事件,非學校網路遭入侵
Canvas 已確認其後端系統於 5 月 7 日遭到入侵。目前 Canvas 已恢復上線,日常教學使用在技術上已屬安全。
2. 主要風險在於釣魚攻擊及外洩資訊之不當利用
據報可能涉及的資訊包括姓名、電子郵件地址、學生證號碼及 Canvas 訊息。即便密碼未遭外洩,攻擊者仍可能利用熟悉的人名、學校細節或過往訊息,製作極具說服力的偽造郵件。
請提醒教職員、學生及家長:切勿點擊可疑的 Canvas 相關連結,勿透過郵件連結輸入密碼,亦勿下載來歷不明的「作業」或附件。
3. 對勒索或恐嚇手段保持警惕
攻擊者可能威脅公開資訊,或施壓要求付款。學生可能對資料遭外洩感到不安,或誤判資料的敏感程度。任何人收到此類訊息,切勿回應、點擊連結或付款,應立即通報學校行政單位或資訊人員。
建議行動
1. 若學生或教職員的電子郵件因 Canvas 事件而暴露,請提高電子郵件垃圾郵件過濾器的敏感度,這可能導致更多郵件被歸類為垃圾郵件。
2. 通知您的網路保險公司或保險經紀人,並在其協助下評估情況。
3. 請將此事件視為學生資料、通訊及營運持續性事件,而非單純的資訊技術問題。優先任務:保護學生家庭免受詐騙。
常見問答
1. 所有存放於 Canvas 的資料都遭到外洩了嗎?
並非如此。我們不應假定所有檔案、課程、成績或記錄均遭外洩。學區應依據 Instructure 的正式指引,並要求提供針對學區的具體細節,確認哪些資料(如有)受到影響。
2. 若學生或教職員將 Canvas 密碼用於其他系統,會有哪些風險?
即使 Canvas 密碼未遭外洩,密碼重複使用仍有風險。若該密碼已透過其他途徑外洩,或經由釣魚攻擊取得,重複使用的密碼可能使他人存取電子郵件、學校入口網站、雲端儲存空間或其他系統。任何曾重複使用密碼者,應立即變更密碼,並為每個系統設定唯一的密碼。
3. 這是否在網路保險的承保範圍內?
可能,視學校網路保險保單條款而定,包括是否涵蓋供應商事件、通知費用、法律支援、數位鑑識、營業中斷及除外條款等。
希望這些資訊有所幫助。
From Hoplite Team